Follow me on GitHub

东写西读

AC2015随记

有幸收到AC2015参会邀请,怀着崇高的敬意和期待,昨天下午来到腾大参加这次活动。AlloyTeam出品过很多有意思的作品,也有许多知名的开源项目,想必作为前端er都会有所耳闻,最初知道这个团队是通过CodeTank ,也为后面“墙来了”H5体感游戏创意与新技术的契合所深深折服。AC2015是合金团队成立以来开办的首届技术大会,往后计划每年一期,会上分享合金团队这一年里产生的作品和技术成果。

More >

质疑小米帐号体系的安全性

前段时间发现自己的小米帐号被盗,因为绑定过手机邮箱,本以为可以很方便地找回;却发现手机也被重新绑定了,邮箱被解绑,很显然是被恶意申诉了。随后提交的两次申诉都被驳回,无奈只好找客服反馈,还特意截了早期密保手机设置成功和异常登录提醒邮件的图。本以为胜券在握,上午接到的电话反馈才大吃一惊。

首先客服MM确认了帐号31385972目前的属主不是我的158***手机;原因是帐号被申诉通过,原有的绑定信息都被解除,而提交的两次申诉失败原因其实是因为客服在核对申诉信息前会联系目前绑定该帐号的手机确认,盗号者自然否认提出申诉了,于是申诉流程终止……

More >

掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞

从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。

在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。

先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:

  1. 构造请求到关注接口;
  2. cookie中带有用户信息(用户已经登录)。

More >

茵特拉根温泉一日游

跟了个华侨城一日游的团,始发点基本上齐,没有中途上客所以到得比较早,请容许我用一张全景图开场:

拿着茶溪谷的门票发现游乐场已是人山人海,游乐项目几乎每个都要排队,那画面太美我不敢拍大家自行脑补。

More >

2014中秋月

事情是酱的:
中秋没回家,晚饭后在小区周围转了一圈找不到月亮的影子,扫兴的在微信群里嚷到:“说好的圆月呢,头一年在深圳过中秋啊喂!”

More >

读书笔记——笛卡儿《谈谈方法》

全书分为六个部分:

第一部分是作者对于各门学科的看法;
第二部分,作者寻求的那种方法的几条主要规则(研究问题的方法分四个步骤):

  1. 永远不接受任何我自己不清楚的真理,就是说要尽量避免鲁莽和偏见,只能是根据自己的判断非常清楚和确定,没有任何值得怀疑的地方的真理。就是说只要没有经过自己切身体会的问题,不管有什麽权威的结论,都可以怀疑。这就是著名的“怀疑一切”理论。例如亚里士多德曾下结论说,女人比男人少两颗牙齿。但事实并非如此;
  2. 可以将要研究的复杂问题,尽量分解为多个比较简单的小问题,一个一个地分开解决;
  3. 将这些小问题从简单到复杂排列,先从容易解决的问题着手;
  4. 将所有问题解决后,再综合起来检验,看是否完全,是否将问题彻底解决了。

第三部分,从这种方法里引导出来的行为准则;
第四部分,通过用前述种方法来证明神和灵魂的存在,来证明这种方法的可靠性。也就是他形而上学的基础。
第五部分是他研究过的一系列物理学问题,特别是对于心脏运动以及其他方面医学方面问题的解释,还有人们灵魂和禽兽灵魂的区别;
最后一部分,是作者认为一定要做哪些事情才能在自然研究方面比过去更进一步,以及是哪些理由促使他写书。

More >

移动设备浏览当前页